I ricercatori scoprono Capmaign di spionaggio informatico a lungo termine
I ricercatori della sicurezza hanno recentemente svelato informazioni su una campagna di spionaggio informatico a lungo termine rivolta alle aziende del settore del carburante in tutto il mondo. La campagna era incentrata sull'elusione del rilevamento a lungo termine e sull'installazione di trojan di accesso remoto sulle reti delle vittime con lo scopo di esfiltrare e spiare i dati a lungo termine.
I ricercatori della società di sicurezza Intezer hanno rivelato che i malintenzionati hanno utilizzato campagne e-mail di spear-phishing mirate che trasportano payload di trojan di accesso remoto come allegati dannosi. La gamma di malware RAT utilizzata nella campagna varia notevolmente e include nomi famigerati come Agent Tesla, Loki e AZORult. Questi strumenti hanno la capacità sia di rubare informazioni sensibili che di accessi al browser, ma anche di registrare le sequenze di tasti.
La campagna è quasi interamente focalizzata sulle compagnie petrolifere e del gas, ma ci sono alcuni outlier mirati che si trovano nei settori IT e dei media. Curiosamente, la maggior parte delle società mirate si trova in Corea del Sud, con altri obiettivi situati in tutto il mondo, tra cui Europa e Stati Uniti, nonché negli Emirati Arabi Uniti.
I ricercatori hanno anche notato che uno degli obiettivi della campagna dannosa era nettamente diverso dagli altri. L'intruso si chiama FEBC ed è un ente di trasmissione radiofonica situato in Corea del Sud, che secondo i ricercatori di Intezer cerca di "sovvertire il divieto di religione" nel vicino nord del paese.
Le e-mail di spear-phishing utilizzano campi mittente falsificati e sono fatte per sembrare che provengano realmente da indirizzi e aziende che sarebbero ben note alle vittime. Alcune delle email utilizzavano domini typosquat - un dominio che ha un singolo carattere diverso da quello legittimo, ad esempio un punto sostituito con un trattino o una "L" sostituita con 1.
Il corpo delle e-mail dannose di solito contiene quella che sembra un'offerta commerciale legittima. I payload sono contenuti in file PDF falsi che sono in realtà archivi .cab o immagini .iso. Intezer ha anche sottolineato che il payload viene distribuito utilizzando tecniche senza file, distribuendosi direttamente nella memoria di sistema senza lasciare alcun file sul disco rigido che potrebbe far scattare potenziali difese.
Intezer ha anche sottolineato che le e-mail erano particolarmente ben fatte in termini di formattazione e che è stata prestata grande attenzione per farle sembrare una corrispondenza commerciale legittima. Ci sono molti piccoli dettagli nel testo di quelle e-mail che indicano che l'attore della minaccia dietro questo non è un dilettante e ha un'ottima comprensione di come sia la corrispondenza commerciale legittima e di alto profilo.
